実在する企業やサービスを装ったメールやSMSで偽のWebサイトに誘導し、ログイン情報やクレジットカード情報などを騙し取るフィッシングが、3月も休みなく繰り返された。常態化したアップル、アマゾン、LINEに加え、3月も複数のクレジットカード会社を装うフィッシングが観測された。
フィッシング対策協議会の2018年3月の月次報告によると、同協議会に寄せられたフィッシング報告件数 (海外含む) は、1980件(前月比1072件増)。ユニークなURL件数は、687件(前月比39件増)。悪用されたブランド件数 (海外含む) は、32件(前月比2件増)。bitbank、クレディセゾン、マイクロソフト、Netflix、楽天市場、三菱UFJニコスの6回だった。
ただし、楽天市場に関しては、楽天カードなどを装い、バンキングマルウェアに感染させようとするマルウェアメールの一環として送られたもの。これまでは、不正なファイルを添付するか、リンクをクリックさせてダウンロードするスタイルだったが、3月のこのメールのみ、偽サイトに誘導し、ログインさせてからダウンロードする手口が使われた。
同じメールが4月11日から13日にかけてばらまかれたが、偽サイトに誘導する余計な手順は省かれ、いきなりファイルが落ちて来る従来通りの手口に戻っている。アカウント詐取の可能性は否定できないが、マルウェアの感染目的とするのが妥当だろう。
■大量にばらまかれたフィッシングメール
協議会の総評では、「複数のブランドで大量のフィッシング報告を受領した。同じメール文面で非常に多くの受信者に何度も送られる傾向があったため、報告数が増加したが、URL件数はそれほど増加しなかった」「IDとパスワードを入力させた後、最終的にはマルウェア(バンキングトロイ)のインストールへ誘導するフィッシングも非常に多く報告された」とある。意味が取りにくいが、3月の状況と照らし合わせると、おおむね次のようなことを意味すると思われる。
バンキングマルウェアの感染拡大を目的としたメールが、日本を標的として大量に送信されている。一連のメールは、日本サイバー犯罪対策センター(JC3)のWebサイトでその都度公開されており、昨年10月からは、クレジットカード情報などを詐取するアップルのフィッシングメールが含まれるようになった。このメールは、「あなたのApple IDのセキュリティ質問を再設定してください。」という件名で送られ、Apple ID がiCloudへのサインインに使用されたので、心当たりがなければパスワードをリセットするよう求める。月数回のペースで繰り返し送られており、2月、3月はともに3回ばらまかれた。
3月には、マイクロソフトを装う「Microsoftアカウントの不審なサインイン」という件名のフィッシングメールも2回ばらまかれた。昨年から断続的に行われている、オフィスソフトのプロダクトキーが何者かにコピーされているから検証するよう求める内容のメールで、21日ばらまき分がJC3とフィッシング対策協議会のサイトで公開された。
これらのフィッシングは、1回の攻撃でばらまくメールの数が桁違いに多く、全て同じURLが記載されているのが特徴だ。特に毎度注目を集めるマイクロソフトを装うフィッシングが半年ぶりに行われ、同じ配信手段を使用した初の楽天市場を装うマルウェアメールもカウントされており、この辺が報告件数急増の大きな要因になっていると思われる。
■クレカ情報を狙うフィッシング続く
アップルやアマゾン、マイクロソフトのフィッシングは、不正ログインなどを理由に偽サイトへと誘導してログインさせ、本人確認などと称してクレジットカード情報を騙し取ろうとする。一昨年から増えはじめたクレカ情報を騙し取る新しい手口だが、それ以前からあるカード会社を装うストレートなタイプも相変わらず健在で、3月は、3グループが4ブランドのフィッシングを展開した。
★【重要:必ずお読みください】メールで誘導
2013年からえんえんと続いているのが、「【重要:必ずお読みください】」という件名で、第三者による不正アクセスを確認したのでIDを暫定的に変更した、よって任意のIDへ再変更するようにと促すメールを送る手口だ。
3月は、クレディセゾンの「Netアンサー」を装うメールと、三菱UFJニコスの「MUFGカード」を装うメールがばらまかれた。複数のサーバーと紛らわしい名前のドメインを大量に使用し、本物のユーザー登録フォームを流用した偽サイトへと誘導するのが特徴だ。 今のところは暗号化通信に対応していないので、アドレスバーを確認すればひと目で偽物を見破ることができる。対応が遅れがちな週末を狙って攻撃を仕掛けるのも特徴で、サイトの閉鎖や告知が行われたのは、週明けの月曜日になってからだった。
ちなみに今月は、先週末から両方のフィッシングが並行して行われ、月曜日に終息した。今回は計約100個と、これまでにない数のドメインが投入された。
★「ポイントプレゼント」で誘導
今年になってから、老舗グループとは別のクレディセゾンのフィッシングを見かけるようになった。「Saison International」を装い、「期間: 2018年03月1日(日)~03月31日(日)」「賞:あなたは1500ポイントを受け取った(7500円)」「永久不滅ポイント プレゼント時期について」などの件名のメールで偽のキャンペーンサイトへと誘導し、カード情報を入力させようとする。
同時期に行われたNetflixのフィッシングも同じグループが仕掛けていると見られ、協議会からは、2月、3月にNetflixの緊急告知が、2月にクレディセゾンの緊急情報が出ている。
★楽天カードのフィッシング
楽天カードを装いマルウェアを拡散するメールやSMSは度々話題になり、同社やJC3のWebサイトで注意が呼びかけられている。今年になってからはクレジットカード情報を騙し取るフィッシングメールも何度かばらまかれ、1月に3回、3月に5回、今月に入ってからも2回のばらまきが観測されている。
3月に観測されたのは、「【楽●天】緊急!パスワード初期化のご連絡」や「【楽天】パスワード初期化のご連絡」という件名のメールで、不正ログインの可能性があるのでパスワードをリセットした、よって設定手続きをするようにと求めてくる。誘導先は、紛らわしいドメインを使用した「楽天e-Navi」の偽サイトになっており、誤ってログインするとセキュリティ強化手続きと称してクレジットカード情報を入力させようとする。
このグループは、ほかにNTTドコモやソフトバンクのキャリア決済を狙うフィッシングも仕掛けており、4月に入ってからは、「【重要】○○○○株式会社から緊急のご連絡」という件名のメールを度々ばらまいている。○○○○には、楽天カード、NTTドコモ、ソフトバンクに加え、Yahoo! JAPANカードのバリエーションも見つかっている。
(2018/04/19 ネットセキュリティニュース)
【関連URL】
・2018/03 フィッシング報告状況
https://www.antiphishing.jp/report/monthly/201803.html
・[更新] MUFG カードをかたるフィッシング (2018/03/26)
https://www.antiphishing.jp/news/alert/mufgcard_20180326.html
・楽天をかたるフィッシング (2018/03/23)
https://www.antiphishing.jp/news/alert/rakuten_20180323.html
・[更新] Netflix をかたるフィッシング (2018/03/22)
https://www.antiphishing.jp/news/alert/netflix_20180322.html
・マイクロソフトをかたるフィッシング (2018/03/22)
https://www.antiphishing.jp/news/alert/microsoft_20180322.html
・セゾン Net アンサーをかたるフィッシング (2018/03/19)
https://www.antiphishing.jp/news/alert/saison_20180319.html
・bitbank をかたるフィッシング (2018/03/07)
https://www.antiphishing.jp/news/alert/bitbank_20180307